使用EventLog Analyzer审核Cyber Essentials

Posted 2023-03-22

由英国政府率先推出并得到业界知名人士支持的“网络基本计划”可帮助组织保持良好的网络安全前景。它定义了一组基本的安全控制措施，组织应采取这些措施来保护其网络免受网络威胁并确保信息安全。对于任何希望竞标涉及处理敏感或个人数据的公共部门合同的组织，Cyber Essentials认证都是必需的。EventLog Analyzer附带了预定义的报告，可帮助您遵守Cyber Essentials所需的各种安全控制。

该计划提出的安全控制措施分为五个基本类别，如下所述。

审核Cyber Essentials

边界防火墙和互联网网关

Cyber Essentials要求使用防火墙来保护网络中连接到Internet的每台设备。防火墙可以控制流入或流出网络的流量，并防止与可疑来源的连接。该方案要求将这些防火墙配置为满足您网络的安全要求，其中包括查看和更改默认设置，防止远程访问管理界面以及监视任何未经授权的配置更改。

安全配置

与防火墙类似，您必须确保所有设备和应用程序服务器均经过最佳配置以适合您的网络要求。任何新设备上的默认设置都可能启用了所有功能和连接模式，以便于访问和使用。这效率低下，并且可能还为攻击者提供了进入网络的简便入口点。因此，有必要将所有设备和应用程序配置为仅提供所需的服务，并仔细监视其使用情况。

用户访问控制

用户帐户是任何网络中有价值的实体。用户帐户的设置方式决定了用户可以访问哪些设备和信息。特别是，特权用户帐户在任何网络中都具有最高的访问级别。您必须仔细监督用户帐户的创建，修改和删除，以确保它们被授权使用，并且仅提供特定用户执行其职责所需的必要数量的权限。

恶意软件防护

攻击者经常试图向公司网络注入旨在窃取敏感网络信息或资源的恶意软件。您必须具有适当的防御机制，以识别潜在的恶意软件安装并防止其在您的网络中传播。您还应该制定规则来管理用户软件安装，并监视网络中是否有未经授权的软件使用。

补丁管理

使所有设备和软件保持最新至关重要。所有设备都至少包含一些漏洞，一旦被发现，攻击者将立即利用漏洞利用您的网络。您应不断扫描网络中的漏洞，并在供应商提供最新补丁程序时将最新补丁程序应用于设备和应用程序。

EventLog Analyzer

EventLog Analyzer中的其他安全功能

除了上述审核报告之外，EventLog Analyzer还具有高级安全功能，因此您可以成为第一个知道网络中何时发生潜在违规事件的人。该产品包括用于检测潜在恶意软件安装的内置规则以及用于识别与已知恶意实体的通信的威胁情报模块。EventLog Analyzer的详细报告和安全功能使其成为满足Cyber Essentials要求的首选解决方案。

EventLog Analyzer：功能丰富的事件日志管理软件

Windows 设备是大多数企业网络中最受欢迎的选择。为了处理这些设备生成的数 TB 的事件日志数据，安全管理员可以使用EventLog Analyzer，这是一个强大的日志管理工具，提供端到端的事件日志管理。该解决方案可以自动化流程，包括收集网络中的日志，并在预定时间归档这些日志。

EventLog Analyzer

以下部分涵盖了事件日志管理中涉及的各个步骤，并解释了 EventLog Analyzer 如何处理这些步骤。

一、事件日志收集

事件日志管理工具的一个重要功能是从每个可能的来源收集事件日志。EventLog Analyzer 的事件日志收集功能非常出色，支持无代理和基于代理的日志收集方法。

二、事件日志过滤器

网络中生成的大多数事件日志表示日常活动。这带来了两个挑战：

• 发现提供安全信息的事件日志。
• 维护用于保存所有收集的事件日志所需的存储空间。

为了应对这些挑战，EventLog Analyzer 提供了事件日志过滤器，可用于对收集的日志进行排序，以查找从安全角度来看具有重要意义的日志。这些可自定义的过滤器基于事件日志源、用户或日志组件。所有事件日志都可以通过 EventLog Analyzer 自动存档以备将来参考。

日志过滤

三、事件日志解析器

为了从收集的事件日志中获得最大收益，日志管理工具解析事件日志至关重要。EventLog Analyzer 有一个内置的事件日志解析器，可以对事件日志进行规范化、解析和索引。

通过例子理解解析

让我们记录一个包含设备名称和用户名的日志；虽然这些信息很容易获得，但不清楚哪个名称是给设备的，哪个是给用户的。EventLog Analyzer 的事件日志解析器将事件日志分解，以便不同的信息（例如，设备名称和用户名）各自显示为自己的日志，然后将它们分组到适当的部分。

四、事件日志分析和关联

日志分析对于事件日志管理工具作为一种有效的安全工具执行非常重要。EventLog Analyzer使用其日志解析器加速事件日志分析。EventLog Analyzer 的关联引擎进一步加强了这一点。

关联日志

EventLog Analyzer 的关联引擎可以通过自动从其数据库中检索事件日志并将它们与来自其他来源的格式化日志进行比较，从而使您免于手动关联日志数据的繁琐过程。这将有助于检测可能代表网络攻击的任何事件链。

五、事件日志搜索和取证分析

IT 管理员通常需要在其组织中执行取证日志分析。在取证日志分析期间，管理员必须搜索日志以找到他们需要的信息，但是 Windows 设备生成的大量事件日志使得手动搜索这些日志几乎不可能。

EventLog Analyzer有一个易于学习和使用的专用搜索模块。它支持包含通配符和布尔运算符的搜索查询；您还可以执行分组和范围搜索。要使用 EventLog Analyzer 搜索事件日志，您可以利用连续提示来构建逻辑查询，此工具将呈现与您的查询匹配的所有日志。

日志归档

六、事件日志归档

归档和正确处理收集的事件日志是事件日志管理周期的重要组成部分。此外，主要的 IT 安全监管机构会仔细审查组织对事件日志归档的流程。它们中的大多数规定了需要存储事件日志的天数，然后才能永久删除日志。

通过部署 EventLog Analyzer，组织可以自动化事件日志归档。您可以指定将收集的事件日志移至存档的天数，并自定义永久删除存档事件日志的天数。这些值可以根据您的业务需要遵守的合规性要求和内部审计要求来决定。EventLog Analyzer 的事件日志存档功能将帮助企业遵守所有主要 IT 要求，例如 HIPAA、SOX、GLBA、PCI DSS 和 GDPR。

了解EventLog Analyzer的更多功能，请关注“运维有小邓”，小邓将带您了解更多IT运维新知识！